医院数据安全管理制度
为加强医院信息系统数据管理，防止数据尤其是敏感数据泄漏、外借、转移或丢失，特制定本制度。

1.医院信息系统相关数据安全工作由信息中心数据库管理员（DBA）负责，DBA
必须采取有效的方法和技术，防止网络系统数据或信息的丢失、破坏或失密。

2.根据数据的保密规定和用途，确定使用人员的存取权限、存取方式和审批手续。

严格遵守业务数据的更改查询审批制度，未经批准不得随意更改、查询业务数据。

3.医院信息系统管理维护人员应按照DBA分配的用户名独立登录数据库，应
熟悉并严格监督数据库使用权限、用户密码使用情况，定期更换用户口令密
码。

不得采用任何其他用户名未经批准进行相关数据库操作。

对DBA分配
给自己的用户名和密码负有保管责任，不得泄漏给任何第三方。

4.利用医院信息系统用户管理模块或其他技术手段对系统用户访问权限进行
管理，用户的访问权限由系统负责人提出，经本部门领导和信息中心主任核
准。

用户权限的分配由信息中心专人负责。

5.计算机工程技术人员要主动对网络系统实行查询、监控，及时对故障进行有
效的隔离、排除和恢复，对数据库及时进行维护和管理。

设立数据库审计设
备，所有针对数据库的增加、删除、修改和查询动作均应记录，数据记录保
留3个月。

数据库审计设备记录的查询由纪检部分负责。

6.所有上网操作人员必须严格遵守计算机以及其他相关设备的操作规程，禁止
其他人员进行与系统操作无关的工作。

外来维护人员进行服务器的维修、维
护操作，信息中心相应人员应全程陪同。

7.计算机工程技术人员有权监督和制止一切违反安全管理的行为。

8.开发维护人员与操作人员必须实行岗位分离，开发环境和现场必须与生产环
境和现场隔离。

开发环境的业务数据除留部分供测试用，由DBA负责删除。

9.屏蔽掉核心机房所有设备的远程控制功能，所有操作必须进入操作间指定电
脑方能操作。

机房内24四小时录像监控，保留1月内的进入机房的日志。

10.信息中心维护人员需要签订“数据保密协议”，严禁向无关人员非法提供医
院相关数据。

违反者给予相应处分。